Hiermit loggen Sie sich bei DocCheck aus.
OK
Abbrechen

RichtlinieIT-Sicherheit: Das müssen Sie jetzt umsetzen

  • 5 Min.
  • 22. Okt. 2025

Seit 1. Oktober müssen Praxisteams die Änderungen der IT-Sicherheitsrichtlinie anwenden. Neuerungen gibt es vor allem bei der Schulung von Mitarbeitenden. Der Hausärztinnen- und Hausärzteverband beantwortet die wichtigsten Fragen. Eine Checkliste hilft, die neuen IT-Standards einzuhalten.

© iStock.com/skynesher
Die IT-Sicherheitsrichtlinie der KBV nimmt die Schulung des Praxisteams jetzt mehr in den Fokus.

Seit 1. Oktober müssen Niedergelassene die neuen Anforderungen der aktualisierten IT-Sicherheitsrichtlinie der Kassenärztlichen Bundesvereinigung (KBV) umsetzen. Die Richtlinie trat bereits am 1. April 2025 in Kraft und soll Praxen noch besser vor Cyberbedrohungen schützen.

Ziel der Überarbeitung ist es, sensible Patientendaten durch verstärkte Sicherheitsmaßnahmen und bessere Sensibilisierung des Praxispersonals zu schützen. Die Neuerungen betreffen daher vor allem Vorgaben zur Schulung von Mitarbeitenden in IT-Sicherheit sowie im Umgang mit sensiblen Daten sowie das richtige Handeln bei Spam oder Phishing. Die Rauchenden Köpfe und IT-Experte Daniel Köhler geben ergänzend Tipps zur IT-mäßigen Umsetzung der Richtlinie.

Mit dem Institut für hausärztliche Fortbildung (IHF) hat Hausärztliche Praxis eine Checkliste für Praxisinhabende erstellt, mit der Sie kontrollieren können, ob Sie alle nötigen Maßnahmen zur IT-Unterweisung von Mitarbeitenden erfüllt haben (s. Kasten).

Da sich die Zusammensetzung des Praxisteams, die Einbindung von externen Dienstleistern sowie die Anforderungen im Umgang mit Schadsoftware wie Spam und Phishing immer wieder wandeln, ist es ratsam, mit der Checkliste regelmäßig (zum Beispiel jährlich) zu prüfen. Die Checkliste enthält deshalb am Ende eine Zeile für Datum und Unterschrift, sodass direkt ersichtlich ist, wann zuletzt gecheckt wurde.

Wen betrifft die IT-Sicherheitsrichtlinie?

Die IT-Sicherheitsrichtlinie richtet sich an alle ärztlich oder psychotherapeutisch Niedergelassenen in der vertragsärztlichen Versorgung. Dabei gelten unterschiedliche Anforderungen je nach Praxisgröße:

  • Kleine Praxen: bis zu 5 Personen mit Datenverarbeitung (Anlage 1 und 5 verpflichtend)
  • Mittlere Praxen: 6 bis 20 Personen mit Datenverarbeitung (Anlage 1, 2 und 5)
  • Große Praxen: über 20 Personen oder bei besonderer Datenverarbeitung sowie Praxen mit Großgeräten: CT, MRT, PET, Linearbeschleuniger etc. (Anlage 1, 2, 3 und 5 sowie 4 bei Großgeräten)

Wichtig: Ob Voll- oder Teilzeitmitarbeitende ist dabei irrelevant. Jeder zählt als eine Person.

Warum wurde die IT-Sicherheitsrichtlinie aktualisiert?

Medizinische Einrichtungen sind zunehmend Ziel von Hacker-Angriffen und die Bandbreite der Angriffsmethoden wächst stetig. Durch das Digital-Gesetz wurden außerdem neue gesetzliche Anforderungen eingeführt, insbesondere zur Sensibilisierung des Praxispersonals für mehr Informationssicherheit.

Was sind die wichtigsten Neuerungen?

Die Hauptneuerungen betreffen das Praxispersonal: Es muss regelmäßig zur ­IT-Sicherheit geschult und für Informationssicherheit sensibilisiert werden. Zusätzlich wurden Vorgaben für E-Mail-Sicherheit, Patch-Management und Cloud-Anwendungen verschärft.

Bis wann müssen die neuen Vorgaben umgesetzt werden?

Die neuen Anforderungen sind spätestens seit 1. Oktober 2025 umzusetzen, ein halbes Jahr nach Inkrafttreten der aktualisierten Richtlinie. Alle bestehenden Anforderungen aus der Richtlinie von 2021 gelten weiterhin. Es gibt auch keine Übergangsfrist. Das bedeutet, dass Sie seit dem 1. Oktober alle technischen und organisatorischen Anforderungen erfüllen müssen. Aber: Sofern Sie ein Schulungskonzept haben, müssen noch nicht alle Schulungen zum 1. Oktober erfolgt sein. Hier können Sie die Schulungen entsprechend Ihres Konzeptes auch nach dem Stichtag durchführen.

Wie muss Personal geschult werden?

Das Praxispersonal muss regelmäßig zur Informationssicherheit geschult werden, soweit dies für die Arbeit relevant ist. In der Regel sollte einmal jährlich als angemessen gelten. Die Form der Schulung bleibt der Praxisleitung überlassen – ob durch interne Schulungen, E-Learning oder externe Fortbildungen. Auch das IHF bietet zum Beispiel entsprechende Schulungen für ärzt­liches und nicht-ärztliches Praxispersonal an (s. Kasten).

Was gilt für E-Mail-Sicherheit?

Die Richtlinie fordert klare Verhaltensregeln für den E-Mail-Umgang, insbesondere zum Schutz vor Phishing-Attacken und Spam. E-Mail-Clients und -Server müssen sicher konfiguriert werden.

Was passiert bei Cloud-Anwendungen?

Seit dem Digital-Gesetz 2024 dürfen Gesundheits- und Sozialdaten nur noch unter besonderen Sicherheitsanforderungen in der Cloud verarbeitet werden. Nur Cloud-Dienste von Anbietern mit C5-Testat des BSI sind zulässig. Hier müssen Sie als Arztpraxis prüfen, ob Ihre Dienstleister dies erfüllen.

Was passiert bei Nichteinhaltung?

Die IT-Sicherheitsrichtlinie basiert auf gesetzlichen Vorgaben nach Paragraf 390 SGB V. Bei Nichteinhaltung können datenschutzrechtliche Konsequenzen und Sanktionen drohen.

Was ändert sich sonst noch für kleine, mittlere oder große Praxen?

Alle Praxen müssen folgende (neue) Anforderungen erfüllen:

  • Mitarbeiterregelungen
  • Patchmanagement (vor allem zeitnahes Einspielen von Software-Updates)
  • Endgerätesicherheit/Datensicherungen
  • E-Mail- und Serversicherheit
  • Sicherheit der Webseite
  • Cloudanwendungen nur bei C5-Testat
  • Zusätzliche Schutzpflichten bei Internetzugang neben TI-Anbindung.

Darüber hinaus treffen große Praxen noch folgende neue Anforderungen:

  • Lernerfolge der Personalschulungen müssen ausgewertet werden
  • Netzwerksicherheit muss erhöht werden
  • Berechtigungskonzepte und Regelungen zu mobilen Geräten
  • Erhöhte Regelungen zu E-Mail- und ­Serversicherheit

Was müssen Mitarbeitende konkret erfüllen und worauf müssen sie geschult werden?

Die Pflichten zu Mitarbeitenden treffen alle Praxisgrößen.

  • Verschwiegenheitserklärungen unterzeichnen.
  • In die Praxis-IT sowie alle zugehörigen Sicherheitsrichtlinien eingewiesen werden.
  • Es muss ein Prozess für den Austritt von Mitarbeitenden vorhanden sein (u.a. Entzug von Zugangsberechtigungen und Schlüsseln, ggf. Passwörter ändern bei gleichem Zugang für mehrere Personen).
  • Es müssen betriebliche Regelungen eingeführt werden, um regelmäßige Schulungen zu gewährleisten.
  • Es müssen Schulungen zum Umgang mit Phishing-Mails/Spam-Mails durchgeführt werden.

Die Form der Schulung ist offen. Sie können Ihr Personal selbst schulen, Online-Kurse buchen oder die teilweise kostenlosen Schulungen der KV/KBV nutzen.

Was muss Fremdpersonal erfüllen?

  • Vertraulichkeitsverpflichtung wie Mit­arbeitende unterzeichnen.
  • Einmalige Dienstleister nur unter ­Aufsicht in sensible Bereiche lassen.
  • Bei Beendigung zu Rückgabe aller Informationen und Unterlagen auffordern.
Weiterlesen

IT-Sicherheitsrichtlinie Ab Oktober Praxispersonal zur IT-Sicherheit schulen

Impftermine werden vermehrt abgesagt

Impfmanagement KBV feilt am Corona-Impfportal

Junger Arzt sitzt am Computer

Rauchende Köpfe Waches Team schützt vor IT-Knock-out am besten

Computer steht auf Schreibtisch im Sprechstundenzimmer

Start der Hochlaufphase ePA-Hilfen für Praxen aktualisiert

Lymphdrainage am Bein

Ab 1. Oktober Manuelle Lymphdrainage: Verordnung wird flexibler

Terminankündigung April 2025: Tag der Allgemeinmedizin Schleswig-Holstein

Am Samstag, den 5. April 2025 findet von 9:00 bis 16:45 Uhr der 9. Tag…

Fernbehandlung, Telemedizin, E-Health, Videosprechstunde

Heilmittel-Richtlinie Heilmittel auch per Videosprechstunde verordnen

Editorial HA 11/24 Bald kurze Leine für PVS-Anbieter

Leerer Klinikflur

KRITIS-Dachgesetz Gesundheitswesen soll sich für Krisen besser wappnen

Wirbelsauele Osteoporose

IQWiG DMP Osteoporose: Aktualisierung erforderlich

E-Mail-Adresse vergessen? Schreiben Sie uns.
Passwort vergessen? Sie können es zurücksetzen.
Nur wenn Sie sich sicher sind.
Sie haben noch kein Passwort?

Gleich registrieren ...

Für Hausärztinnen und Hausärzte, Praxismitarbeitende und ÄiW (Allgemeinmedizin und Innere Medizin mit hausärztlichem Schwerpunkt) ist der Zugang immer kostenfrei.

Mitglieder der Landesverbände im Hausärztinnen- und Hausärzteverband profitieren außerdem von zahlreichen Extras.

Hier erfolgt die Registrierung für das Portal und den Newsletter.

Persönliche Daten
Ihr Beruf
Legitimation

Die Registrierung steht exklusiv ausgewählten Fachkreisen zur Verfügung. Damit Ihr Zugang freigeschaltet werden kann, bitten wir Sie, sich entweder mittels Ihrer EFN zu legitimieren oder einen geeigneten Berufsnachweis hochzuladen.

Einen Berufsnachweis benötigen wir zur Prüfung, wenn Sie sich nicht mittels EFN autorisieren können oder wollen.
Mitglied im Hausärzteverband
Mitglieder erhalten Zugriff auf weitere Inhalte und Tools.
Mit der Registrierung als Mitglied im Hausärzteverband stimmen Sie zu, dass wir Ihre Mitgliedschaft überprüfen.
Newsletter
Sie stimmen zu, dass wir Ihre E-Mail-Adresse für diesen Zweck an unseren Dienstleister Mailjet übermitteln dürfen. Den Newsletter können Sie jederzeit wieder abbestellen.
Das Kleingedruckte
Die Zustimmung ist notwendig. Sie können Sie jederzeit widerrufen, außerdem steht Ihnen das Recht zu, dass wir alle Ihre Daten löschen. Jedoch erlischt dann Ihr Zugang.
Sie können auch den NOT-Operator verwenden, wenn Sie einen bestimmten Begriff ausschließen wollen. Beispiel: nephropathie NOT diabetes findet alle Inhalte zur Nephropathie, in denen nicht der Begriff Diabetes vorkommt.

Ergebnisse einschränken? Optional, falls Sie nur in bestimmten Bereichen suchen wollen.

Newsletter abbestellen

Wenn Sie den Newsletter abbestellen wollen, geben Sie bitte Ihre E-Mail-Adresse an und wählen Sie die gewünschte Funktion. Wir senden Ihnen dann eine E-Mail zur Bestätigung.